ARK>>>Тут главное — четкий контроль, кто что может делать. Браузер может качать документы и класть их в соответствующее хранилище, а ворд может читать документы из этого хранилища. Все ОК, никаких лишних подтверждений. В современных осях в этом смысле царит полный хаос.
O>>А если я захочу браузером отправить документ?
ARK>Я думаю, что отправка через браузер различных типов файлов — вполне ожидаемое действие, и соответствующее разрешение по умолчанию будет. А вот если инсталлятор программы VasyaPupkendMegaApp захочет слелать то же самое, или захочет записать некий файлик в репозиторий драйверов, то ему в этом будет отказано.
Ну то есть поделим приложения на кошерные и остальные. Вопрос — кто будет раввином, определяющим кошерность (и чья печать будет стоять в окошке при инсталляции приложения)?

Здравствуйте, Andrew.W Worobow, Вы писали:

AWW>Форум "философия", ... пофилосовствуем на тему — Можно ли как-то принципиально, раз и на всегда решить ворос безопасности?

Можно, unix называется. Пароноидально настроенный unix пуленепробиваем. Был в школе опыт когда 500 отморозков со средним IQ > 120 полгода ломали параноидально настроенную NT и параноидально настроенную FreeBSD. NT сломали, а фряха устояла.

Здравствуйте, Osaka, Вы писали:

O>Каждому приложению своя виртуальная машина!
Поздравляю, вы изобрели один из компонентов безопасности Xbox One.

Здравствуйте, Abyx, Вы писали:
A>вот приложение
A>

A>scriptName = input()
A>scriptText = open(scriptName).read()
A>eval(scriptText)
A>

A>расскажи что ты будешь тут подписывать, и как это поможет.
приложение буду подписывать. Если потом окажется, что оно исполняет злонамеренные скрипты, то мы отзовём сертификат автора, а автора показательно покараем анально.
В следующий раз он не будет скармливать текст из неизвестного источника в функцию eval().

Но в целом сочетание идей CAS и CBS позволяют защищать и такие вещи. В частности, внезапно окажется, что порождённый приложением код выполняется под правами приложения, т.е. не может делать ничего нового по сравнению с приложением. Если приложению нельзя было открывать соединение по протоколу IRC, то и сгенерированному в нём коду будет нельзя.

Здравствуйте, pestis, Вы писали:

P>Можно, unix называется. Пароноидально настроенный unix пуленепробиваем. Был в школе опыт когда 500 отморозков со средним IQ > 120 полгода ломали параноидально настроенную NT и параноидально настроенную FreeBSD. NT сломали, а фряха устояла.
Не сработает. Никакая система пассивной безопасности (т.е. та, в которой нет активно действующей "контрразведки") не устоит против человеческого фактора.
То есть, грубо говоря, можно попробовать закрыть на зиму дачный домик ставнями. Сломают. Железными ставнями — вскроют автогеном. Накрыть железобетонным колпаком — взорвут.
А можно на 1/1000 стоимости железобетонного купола посадить дедушку с берданкой и свистком — и он будет эффективно отгонять любых отморозков. Благодаря гибкой стратегии защиты — т.е. он будет подбирать противодействия против любой стратегии взлома, а при превышении мощности будет вызывать помощь.

Так и в IT — если дать отморозкам неограниченное время, то они сломают любую систему. Пароли — забрутфорсят, социалку — заинженерят. Заразят админу загрузочную флешку, и при штатном обслуживании сервака пропишут руткит прямо в бутсектор

Здравствуйте, Andrew.W Worobow, Вы писали:

AWW>"придумать" как эти машины или среды будут жить уже на уровне процессоров
Hardware-assisted hypervisor.

AWW>И почему никак будет не возможно выйти из этой машины в другую или в супервизор
Баги в гипервизорах на практике встречаются, и иногда приводят к побегу из песочницы.
Однако hardware-assisted hypervisor это весьма небольшое количество строк кода, т.е. у него очень маленький attack surface.
Поэтому если у вас есть инструменты обновления кода гипервизора, и он устойчив к подмене, то безопасность OK.
Смотрите Xbox 360, который на рынке уже 9 лет, а под него не то что вирусов нет, даже нет годного способа его взломать, шоб он исполнял сторонние или модифицированные приложения.

Здравствуйте, Sinclair, Вы писали:

S>Но в целом сочетание идей CAS и CBS позволяют защищать и такие вещи.
CAS не нужен. CBS необходим и достаточен.

Здравствуйте, ononim, Вы писали:

O>Ну то есть поделим приложения на кошерные и остальные. Вопрос — кто будет раввином, определяющим кошерность (и чья печать будет стоять в окошке при инсталляции приложения)?

Нет, ничего делить не будем. В системе будет некоторый набор прав — доступ в интернет, чтение из указанного хранилища (хранилище текстовых документов, аудиофайлов, видеофайлов, изображений, файлов автокада и т.п.), запись в указанное хранилище, создание дочерних процессов, установка приложений и т.д. Также будет несколько стандартных групп прав — "браузер", "просмотрщик картинок", "текстовый редактор", "среда разработки", etc. Каждое конкретное приложение при инсталляции должно будет отнести себя к некоторой группе и/или потребовать отдельный/дополнительный набор прав. Приложения, подписанные сертификатом, можно установить без предупреждений. Неподписанные должны явно получить одобрение администратора. Примерно так.

O>>Ну то есть поделим приложения на кошерные и остальные. Вопрос — кто будет раввином, определяющим кошерность (и чья печать будет стоять в окошке при инсталляции приложения)?
ARK>Нет, ничего делить не будем. В системе будет некоторый набор прав — доступ в интернет, чтение из указанного хранилища (хранилище текстовых документов, аудиофайлов, видеофайлов, изображений, файлов автокада и т.п.), запись в указанное хранилище, создание дочерних процессов, установка приложений и т.д. Также будет несколько стандартных групп прав — "браузер", "просмотрщик картинок", "текстовый редактор", "среда разработки", etc. Каждое конкретное приложение при инсталляции должно будет отнести себя к некоторой группе и/или потребовать отдельный/дополнительный набор прав. Приложения, подписанные сертификатом, можно установить без предупреждений. Неподписанные должны явно получить одобрение администратора. Примерно так.
Идея не нова. Но во первых — тогда все приложения начнут требовать все права, а все юзеро-админы их будут акцептит, как это и происходит сейчас под ведроидом . Во вторых — формальное разделение породит просто огромное количество групп. Фактически равное количеству программ в системе среднего юзера (кто кроме гиков ставит себе 10 просмотрщиков картинок?). То есть при установке каждой программы помимо самой программы юзер увидит в окне подверждения еще одно слово, которое будет просто довеском к названию программы, не обобщая имеющиеся у него программы.

Здравствуйте, Sinclair, Вы писали:

S>Здравствуйте, Abyx, Вы писали:
A>>вот приложение
A>>

A>>scriptName = input()
A>>scriptText = open(scriptName).read()
A>>eval(scriptText)
A>>

A>>расскажи что ты будешь тут подписывать, и как это поможет.
S>приложение буду подписывать. Если потом окажется, что оно исполняет злонамеренные скрипты, то мы отзовём сертификат автора, а автора показательно покараем анально.
S>В следующий раз он не будет скармливать текст из неизвестного источника в функцию eval().

ну т.е. например игр на твоей платформе не будет. т.к. там внезапно скрипты и все клали болт на подписи.
ты же понимаешь, что есть конкуренция между платформами, и если ты будешь мешать жить разработчикам софта, на твоей платформе не будет не только малвари, но еще и юзеров.
т.е. супер-безопасная ОС это офигенно, но зачем она нужна например тем что играет в ВоВ, если там нету ВоВа?

ну и я так понял интерпретатора питона на твоей ОС тоже не будет? как и например компиляторов типа csc.exe

Здравствуйте, ononim, Вы писали:

O>Идея не нова. Но во первых — тогда все приложения начнут требовать все права, а все юзеро-админы их будут акцептит, как это и происходит сейчас под ведроидом .

Да, это возможно. Но это уже другой вопрос. По крайней мере при желании можно четко видеть, кто что использует, и можно управлять этим процессом (во время инсталляции и после нее).

O>Во вторых — формальное разделение породит просто огромное количество групп. Фактически равное количеству программ в системе среднего юзера (кто кроме гиков ставит себе 10 просмотрщиков картинок?).

Нет, много групп не будет — типов приложений не так уж много.
Наличие группы "просмотрщик картинок" не означает, что юзер должен ставить их 10 штук (более того, у юзера их может вообще не быть ни одного). Эта и другие стандартные группы дают понять юзеру, что существует такой вот класс приложений, и что он для работы требует такие вот права.

Здравствуйте, Abyx, Вы писали:

A>ну т.е. например игр на твоей платформе не будет. т.к. там внезапно скрипты и все клали болт на подписи.
A>ты же понимаешь, что есть конкуренция между платформами, и если ты будешь мешать жить разработчикам софта, на твоей платформе не будет не только малвари, но еще и юзеров.
A>т.е. супер-безопасная ОС это офигенно, но зачем она нужна например тем что играет в ВоВ, если там нету ВоВа?

Это вообще ортогонально вопросу безопасности. На iOS куча драконовских ограничений, а софт все равно пишут в больших количествах. На приставках тоже ограничений полно. В общем, если платформа будет прибыльной, то разработчики быстренько уберут свои болты в штаны и будут делать что положено (в том числе и подписи использовать).

O>>Идея не нова. Но во первых — тогда все приложения начнут требовать все права, а все юзеро-админы их будут акцептит, как это и происходит сейчас под ведроидом .
ARK>Да, это возможно. Но это уже другой вопрос. По крайней мере при желании можно четко видеть, кто что использует, и можно управлять этим процессом (во время инсталляции и после нее).

O>>Во вторых — формальное разделение породит просто огромное количество групп. Фактически равное количеству программ в системе среднего юзера (кто кроме гиков ставит себе 10 просмотрщиков картинок?).
ARK>Нет, много групп не будет — типов приложений не так уж много.
ARK>Наличие группы "просмотрщик картинок" не означает, что юзер должен ставить их 10 штук (более того, у юзера их может вообще не быть ни одного). Эта и другие стандартные группы дают понять юзеру, что существует такой вот класс приложений, и что он для работы требует такие вот права.
просмотрщик картинок, просмотрщик офисодокументов, просмотрщик автокадов, редактор картинок, редактор офисодокументов, редактор автокадов, прослушивальщик аудио, просматривальщик видео, ... нет я не имею ввиду что сама идея бессмысленная, просто разграничение на группы очень шатко. С крупнной гранулярностью в пределах группы мы имеем ту же самую дырявость как и в пределах logon session сейчас в винде. А если сделать гранулярность делать совсем мелкий — получим что количество групп программ в системе будет примерно равно количеству программ.

Ну и это, даже для винды это уже велосипед. RTшный, само собой.

Здравствуйте, Andrew.W Worobow, Вы писали:

AWW>Форум "философия", ... пофилосовствуем на тему — Можно ли как-то принципиально, раз и на всегда решить ворос безопасности?

AWW>Какие тут есть проблемы:
AWW>1) Вирусы

...

А почему нет? Что нам надо от программы? Чтобы по входным данными посчитала выходные. Для этого совсем не обязателдьно давать ей право записывать свою копию в коды других программ, как это делают вирусы — достаточно вызывать с ее параметрами — ссылки на входные данные (только чтение) и ссылка на пустую память для выходных данных. Только для этого требуется посидеть подумать, чтобы такая система ссылок годилась для любых программ, а вот этим народ заниматься не любит. Проще дать право программе читать-писать любые файлы и надеяться, что пронесет.

Здравствуйте, AlexRK, Вы писали:

ARK>Здравствуйте, Abyx, Вы писали:

A>>ну т.е. например игр на твоей платформе не будет. т.к. там внезапно скрипты и все клали болт на подписи.
A>>ты же понимаешь, что есть конкуренция между платформами, и если ты будешь мешать жить разработчикам софта, на твоей платформе не будет не только малвари, но еще и юзеров.
A>>т.е. супер-безопасная ОС это офигенно, но зачем она нужна например тем что играет в ВоВ, если там нету ВоВа?

ARK>Это вообще ортогонально вопросу безопасности. На iOS куча драконовских ограничений, а софт все равно пишут в больших количествах. На приставках тоже ограничений полно.

я думал мы говорим про десктопы.
и под играми я имел ввиду ААА игры, а не поделки типа птиц.
так вот я что-то не видел чтобы под маком было много игр типа батлфилда/планетсайда, всяких ААА мморпг и т.п.

Здравствуйте, Abyx, Вы писали:

A>ну т.е. например игр на твоей платформе не будет. т.к. там внезапно скрипты и все клали болт на подписи.
Странно. Вот в iOS игр — как грязи, а весь софт подписывается. Вы просто две несвязанные вещи связываете в одну.

Здравствуйте, Abyx, Вы писали:
A>и под играми я имел ввиду ААА игры, а не поделки типа птиц.
Это вы наверное про XBOX и PS?
Там всегда есть AAA

rfq>А почему нет? Что нам надо от программы? Чтобы по входным данными посчитала выходные. Для этого совсем не обязателдьно давать ей право записывать свою копию в коды других программ, как это делают вирусы — достаточно вызывать с ее параметрами — ссылки на входные данные (только чтение) и ссылка на пустую память для выходных данных. Только для этого требуется посидеть подумать, чтобы такая система ссылок годилась для любых программ, а вот этим народ заниматься не любит. Проще дать право программе читать-писать любые файлы и надеяться, что пронесет.
Файлы это и есть память для входных и выходных данных.
Более того — все современные оси позволяют разграничивать права доступа на файлы. Просто никто этим не парится, потому что полное разграничение всего и вся порождает кучу геморроя с которым ни юзеры ни программеры не смирятся.

Здравствуйте, WolfHound, Вы писали:

WH>Здравствуйте, kochetkov.vladimir, Вы писали:

WH>>>Verve OS
KV>>Что именно в Verve помешает распространяться вирусам? o_O
WH>Как устроить эскалацию привилегий через код который не может портить память?
WH>Добавляем сюда, что Verve является развитием Singularity, в которой безопасность построена на CBS.
WH>И теперь расскажи, как через это пролезет вирь?

Большая часть вирей эксплуатирует ошибки в браузере и ОС (особенно драйверов и протоколов). Если ошибки устранить и действительно каждый код сможет сделать только то, что ему разрешено (CBS), то проблем не будет.
Но 100% отсутствия ошибок, особенно в браузере, не удалось добиться никому.

Но есть еще социальная инженерия, типа "мои фотки с моря.jpg.exe", оно решается установкой только из доверенного источника с цифровой подписью. Но на практике не решается. Ибо есть закрытые сети, где доступ к надежному источнику блокирован и нет возможности проверить подпись, а также sideloading нужен для разработчиков. Так вот сайдлоадинг также подвержен ошибкам, которые злоумышленники обязательно будут эксплуатировать.

То есть вирус не сможет пролезть в систему без ошибок в теории. А на практике — будут ошибки и будут вирусы.

Здравствуйте, gandjustas, Вы писали:

G>Большая часть вирей эксплуатирует ошибки в браузере и ОС (особенно драйверов и протоколов). Если ошибки устранить и действительно каждый код сможет сделать только то, что ему разрешено (CBS), то проблем не будет.
G>Но 100% отсутствия ошибок, особенно в браузере, не удалось добиться никому.
Ты вообще читал, что такое Verve?